Je voulais revenir sur une affaire qui montre à quel point un simple add-in Outlook peut devenir une porte d’entrée pour les attaquants. Des chercheurs ont découvert le premier add-in malveillant observé dans la nature, détourné pour voler plus de 4 000 identifiants Microsoft. L’attaque a été baptisée AgreeToSteal.
Tout part d’un add-in parfaitement légitime : AgreeTo. Il servait à connecter plusieurs calendriers et à partager ses disponibilités depuis Outlook. Le problème, c’est que son développeur a arrêté le projet depuis longtemps. Le domaine utilisé pour afficher le contenu de l’add-in est donc devenu disponible… et un acteur malveillant l’a récupéré.
Comme les add-ins Outlook chargent leur contenu depuis une URL déclarée dans leur manifest, l’attaquant a simplement mis en ligne une fausse page de connexion Microsoft. Résultat : les utilisateurs ouvraient l’add-in, voyaient l’écran de connexion, entraient leurs identifiants… et ceux-ci partaient directement vers Telegram via un bot. Derrière, la page renvoyait vers la vraie connexion Microsoft, ce qui rendait le piège presque invisible.
Ce qui aurait pu être encore plus grave, c’est que l’add-in avait l’autorisation de lire et modifier les emails. Un attaquant aurait pu injecter du JavaScript pour aspirer des boîtes mails entières sans que personne ne s’en rende compte.
Cette affaire met surtout en lumière une faiblesse structurelle : une fois validé, un add-in peut continuer à fonctionner même si son contenu change complètement. Microsoft a déjà retiré l’add-in du Store, mais l’incident rappelle l’importance d’un contrôle continu.
Koi Security propose d’ailleurs plusieurs pistes :
- vérifier que le domaine de l’add-in appartient toujours au développeur ;
- relancer une analyse lorsque le contenu servi par l’URL change ;
- alerter ou retirer les add-ins abandonnés depuis longtemps.
Cet article peut contenir des images générées par IA. Je mets un soin particulier dans chaque publication ; si toutefois vous repérez une erreur, n’hésitez pas à me le signaler !
